Création d'un cluster avec le chiffrement KMS activé Activation du chiffrement KMS sur un cluster existant

Chiffrement de l'enveloppe KMS pour les clusters EKS

Note

Amazon Elastic Kubernetes Service (Amazon EKS) fournit un chiffrement d'enveloppe par défaut pour toutes les données d'API Kubernetes dans les clusters EKS exécutant Kubernetes version 1.28 ou ultérieure. Pour plus d'informations, consultez la section Chiffrement d'enveloppe par défaut pour toutes les données de l'API Kubernetes dans le guide de l'utilisateur EKS.

EKS prend en charge l'utilisation des clés AWS KMS pour chiffrer l'enveloppe des secrets Kubernetes stockés dans EKS. Le chiffrement des enveloppes ajoute une couche de chiffrement supplémentaire gérée par le client pour les secrets d'application ou les données utilisateur stockées dans un cluster Kubernetes.

Auparavant, Amazon EKS prenait en charge l'activation du chiffrement des enveloppes à l'aide de clés KMS uniquement lors de la création du cluster. Vous pouvez désormais activer le chiffrement d'enveloppe pour les clusters Amazon EKS à tout moment.

Pour en savoir plus sur l'utilisation du support du fournisseur de chiffrement EKS, consultez un defense-in-depth article sur le blog consacré aux conteneurs AWS.

Création d'un cluster avec le chiffrement KMS activé


# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>


eksctl create cluster -f kms-cluster.yaml

Activation du chiffrement KMS sur un cluster existant

Pour activer le chiffrement KMS sur un cluster sur lequel il n'est pas encore activé, exécutez


eksctl utils enable-secrets-encryption -f kms-cluster.yaml

ou sans fichier de configuration :


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

En plus d'activer le chiffrement KMS sur le cluster EKS, eksctl rechiffre également tous les secrets Kubernetes existants à l'aide de la nouvelle clé KMS en les mettant à jour avec l'annotation. eksctl.io/kms-encryption-timestamp Ce comportement peut être désactivé en passant--encrypt-existing-secrets=false, comme dans :


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Si le chiffrement KMS est déjà activé sur un cluster, eksctl procédera au rechiffrement de tous les secrets existants.

Note

Une fois le chiffrement KMS activé, il ne peut pas être désactivé ou mis à jour pour utiliser une autre clé KMS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

Résolution des problèmes